ネットサービス

Pythonパッケージを管理するPyPIがユーザーのデータをアメリカ司法省に開示したことを明らかに


PythonパッケージのアップロードプラットフォームであるPython Package Index(PyPI)を運営するPython Software Foundation(PSF)が、2023年3月から4月にかけて、アメリカ司法省からユーザーデータを要求する召喚状を3回発行されたことを明らかにしました。PSFはこの召喚状に関連する法的状況について説明を受けていないにもかかわらず、合計で5人のPyPIユーザーのデータを要求されたと述べています。

PyPI was subpoenaed - The Python Package Index
https://blog.pypi.org/posts/2023-05-24-pypi-was-subpoenaed/


PyPIはPythonのパッケージをアップロードできるプラットフォームで、PyPIに登録されたパッケージは「pip install」のコマンドでインストールが可能になります。PyPIにパッケージを登録するためには、ユーザーアカウントの登録を行う必要があり、今回司法省が召喚状を発行したのはこのユーザーアカウントに関する情報です。ただし、PyPI側は「なぜ司法省がユーザーデータを要求しているのか」という法的な状況については一切聞かされていないとのこと。

PSFによると、司法省が要求してきたユーザーデータにはPSFが所有していないものがあり、プライバシーの観点からユーザーデータの開示には消極的だったそうですが、弁護士と相談した結果、最終的にデータの提供に応じたことを明らかにしています。


司法省から要求されたユーザーデータとPyPIが提供したデータは以下の通り。

1:名前
PyPIのデータベースにはusernameという要素があり、ここに名前が登録されています。表示名はユーザー自ら変更が可能ですが、PyPIのユーザー表示名変更の履歴は記録されていないとのこと。

2:住所
PyPIでは郵送先住所や居住住所を登録する必要がなく、ユーザーの電子メールアドレスのみが保存されているため、司法省には電子メールアドレスのみが提供されました。

3:アクセス記録
PyPIではプロジェクトに対するすべての変更記録をインデックス上に保持します。これらはデータベースに記録されており、ユーザー名とIPアドレスを除き、XMLRPC APIで公開されているとのこと。また、アカウントの作成やメールの送信、メールアドレスの変更、ログイン、ログインの失敗などのユーザーイベントの記録も保持されており、データベースから取得できるそうです。

4:セッションの時間と継続時間、セッションに関連するネットワークアドレスなどの記録
PyPIではセッション時間、つまりログインした時間はデータとして提供されているものの、セッションの継続時間は記録していないとのこと。

5:サービス期間と利用したサービスの種類
これはPyPIだと、ユーザーアカウントが作成された日付と、最後にログインに成功した時の記録に当たるとのこと。一連の記録はデータベースに保存されており、PyPIには非公開の情報となっています。

6:電話番号あるいはIPアドレス
各ユーザーのすべてのIPアドレスが共有されました。これらはデータベースの記録から取得されたもので、PyPIには非公開となっています。

7:サービスの支払い手段と支払元
PyPIではユーザーの使用料を設定していないため、クレジットカードの支払い記録や請求記録も存在しません。

8:ユーザーがアップロードしたPythonパッケージの記録
各ユーザー名に関連付けられたすべてのプロジェクトのリストが提供されました。これらはデータベースの記録から取得されたもので、PyPIには非公開となっています。

9:ユーザーがアップロードしたPythonパッケージをダウンロードしたIPログ
PyPIはIPアドレスを含むパッケージのダウンロードログを保持していないとのこと。ダウンロードログはコンテンツデリバリーネットワーク(CDN)によって報告されるIPアドレスの地理的位置情報(GeoIP)のみを含むパイプラインで処理され、Google BigQuery Publicデータセットから取得されたそうです。

by Michał Kosmulski

PSFのインフラストラクチャ担当ディレクターであるイー・ダービン氏は、「PyPIユーザーのプライバシーはPSFとPyPI管理者にとって最も関心が高く、私たちはできるかぎりユーザーデータを開示から保護することに取り組んでいます。ただし、今回は弁護士のアドバイスを受けて、要求されたデータを提供することが唯一の行動方針であることだと判断しました。私はPSFのインフラストラクチャ担当ディレクターとして、弁護士と相談しながら要求にこたえました」と述べています。

この記事のタイトルとURLをコピーする

・関連記事
従来のPythonよりも高速化が可能な新たなプログラミング言語「Mojo」が開発される - GIGAZINE

オープンソースコミュニティの健全性のためにPythonソフトウェア財団がEUの法律に警鐘 - GIGAZINE

Python 3.11の安定版がリリースされる、3.10よりも1.25倍高速に - GIGAZINE

Pythonの15年間見過ごされてきた脆弱性が30万件以上のオープンソースリポジトリに影響を与える可能性 - GIGAZINE

プログラム言語のPythonとPHPのライブラリが乗っ取られて悪意のあるバージョンが公開、開発者の情報が収集される - GIGAZINE

・関連コンテンツ

in ソフトウェア,   ネットサービス,   セキュリティ, Posted by log1i_yk

You can read the machine translated English article here.